KR102247621B1 - Network environment management system and method for detecting compromised switches and bypass attacks - Google Patents

Network environment management system and method for detecting compromised switches and bypass attacks Download PDF

Info

Publication number
KR102247621B1
KR102247621B1 KR1020190134898A KR20190134898A KR102247621B1 KR 102247621 B1 KR102247621 B1 KR 102247621B1 KR 1020190134898 A KR1020190134898 A KR 1020190134898A KR 20190134898 A KR20190134898 A KR 20190134898A KR 102247621 B1 KR102247621 B1 KR 102247621B1
Authority
KR
South Korea
Prior art keywords
packet
network device
information
network
key list
Prior art date
Application number
KR1020190134898A
Other languages
Korean (ko)
Inventor
박민호
깐 탕 응웬
이태희
Original Assignee
숭실대학교산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 숭실대학교산학협력단 filed Critical 숭실대학교산학협력단
Priority to KR1020190134898A priority Critical patent/KR102247621B1/en
Application granted granted Critical
Publication of KR102247621B1 publication Critical patent/KR102247621B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/069Management of faults, events, alarms or notifications using logs of notifications; Post-processing of notifications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/142Network analysis or design using statistical or mathematical methods
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/10Active monitoring, e.g. heartbeat, ping or trace-route
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/55Prevention, detection or correction of errors
    • H04L49/555Error detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload

Abstract

Provided is a network environment management system. The network environment management system comprises: a switch device receiving a packet from a host; a network device generating statistical information indicative of the packet; and a control device selecting a switch device according to flow setting information for setting a path of the packet and determining a state of at least one of the switch device and the network device according to the statistical information of the packet.

Description

손상된 스위치와 우회 공격을 탐지하는 네트워크 환경 관리 시스템 및 방법{NETWORK ENVIRONMENT MANAGEMENT SYSTEM AND METHOD FOR DETECTING COMPROMISED SWITCHES AND BYPASS ATTACKS}Network environment management system and method for detecting damaged switches and bypass attacks {NETWORK ENVIRONMENT MANAGEMENT SYSTEM AND METHOD FOR DETECTING COMPROMISED SWITCHES AND BYPASS ATTACKS}

본 발명은 손상된 스위치와 우회 공격을 탐지하는 네트워크 환경 관리 시스템 및 방법에 관한 것으로, 보다 상세하게는, 스위치 장치 및 네트워크 장치를 통과하는 패킷의 상태로부터 스위치 장치 또는 네트워크 장치의 손상과 우회 공격을 탐지하는 시스템 및 방법에 관한 것이다.The present invention relates to a network environment management system and method for detecting damaged switches and bypass attacks, and more particularly, to detect damage and bypass attacks of a switch device or network device from the state of packets passing through the switch device and the network device. It relates to a system and method of doing.

SFC(Service Function Chaining)기술은 SDN(Software-Defined Network)과 NFV(Network Function Virtualization)과 상관 관계가 존재하는 기술로 이해할 수 있다. SFC는 로드 밸런싱, NAT 등의 순서가 정해진 네트워크 서비스 목록을 가상의 체인으로 정의하여, 기존의 네트워크 보다 유연하게 관리 가능한 기능을 제공하고 있다. 이러한 네트워크 서비스는 MiddleBox라고 불리는 네트워크 장치에 의해 제공된다. 일반적으로, 1개의 네트워크 장치는 스위치 장치와 연결되고 SFC는 각 스위치 장치들을 연결하여 체인 형태의 네트워크 서비스를 제공한다.Service Function Chaining (SFC) technology can be understood as a technology that has a correlation with Software-Defined Network (SDN) and Network Function Virtualization (NFV). SFC defines an ordered list of network services such as load balancing and NAT as a virtual chain, providing functions that can be managed more flexibly than existing networks. These network services are provided by a network device called MiddleBox. In general, one network device is connected to a switch device, and the SFC connects each switch device to provide a network service in the form of a chain.

그러나, SFC는 손상된 스위치 장치 또는, 네트워크 장치에 대한 우회 공격 등의 보안 공격에 취약점이 존재한다. 이와 관련하여, 기존에는 손상된 스위치 장치와 네트워크 장치에 대한 우회 공격을 개별적으로 해결할 수밖에 없었다. 이에 따라, 스위치 장치와 네트워크 장치에 발생하는 손상 또는 공격을 동시에 검출할 수 있는 방안이 필요한 실정이다.However, SFC has a vulnerability in security attacks such as a bypass attack on a compromised switch device or a network device. In this regard, in the past, it was inevitable to individually solve bypass attacks on damaged switch devices and network devices. Accordingly, there is a need for a method capable of simultaneously detecting damage or attack occurring in a switch device and a network device.

본 발명이 해결하고자 하는 기술적 과제는 스위치 장치 및 네트워크 장치를 통과하는 패킷의 상태로부터 스위치 장치 또는 네트워크 장치의 손상과 우회 공격을 탐지하는 시스템 및 방법을 제공하는 것이다.The technical problem to be solved by the present invention is to provide a system and method for detecting damage and bypass attacks of a switch device or a network device from a state of a packet passing through a switch device and a network device.

본 발명의 일측면은, 호스트로부터 패킷을 전달받는 스위치 장치; 상기 스위치 장치로부터 패킷을 전달받고, 상기 패킷을 나타내는 통계 정보를 생성하는 네트워크 장치; 및 상기 패킷의 경로를 설정하는 흐름 설정 정보에 따라 복수의 스위치 장치 중에서 패킷을 생성하는 호스트와 패킷을 전달받는 호스트를 연결하는 적어도 하나 이상의 스위치 장치를 선정하고, 상기 네트워크 장치로부터 전달받는 상기 패킷의 통계 정보에 따라 상기 스위치 장치 또는 상기 네트워크 장치 중 적어도 하나의 장치의 상태를 판단하는 제어 장치를 포함할 수 있다.One aspect of the present invention, a switch device for receiving a packet from a host; A network device that receives a packet from the switch device and generates statistical information representing the packet; And selecting at least one switch device connecting the host generating the packet and the host receiving the packet from among a plurality of switch devices according to the flow setting information for setting the path of the packet. It may include a control device that determines the state of at least one of the switch device or the network device according to the statistical information.

또한, 상기 네트워크 장치는, 스위치 장치로부터 상기 키 목록 정보를 이용하여 암호화된 패킷을 전달받고, 상기 암호화된 패킷의 유형이 프로브 패킷에 해당되는지 판단하고, 상기 암호화된 패킷이 프로브 패킷인 경우, 다른 네트워크 장치의 키 목록 정보와 호환되도록 설정되는 상기 네트워크 장치의 키 목록 정보를 이용하여 암호화된 패킷을 복호화하여 무결성을 검증할 수 있다.In addition, the network device receives the encrypted packet from the switch device using the key list information, determines whether the type of the encrypted packet corresponds to a probe packet, and if the encrypted packet is a probe packet, another Integrity may be verified by decrypting an encrypted packet using the key list information of the network device set to be compatible with the key list information of the network device.

또한, 상기 네트워크 장치는, 상기 제어 장치로부터 키 목록 정보를 전달받고, 검증된 패킷을 상기 키 목록 정보로 암호화하고, 상기 키 목록 정보를 이용하여 암호화된 패킷을 상기 스위치 장치에 전달할 수 있다.In addition, the network device may receive key list information from the control device, encrypt a verified packet with the key list information, and transmit the encrypted packet to the switch device using the key list information.

또한, 상기 네트워크 장치는, 상기 스위치 장치로부터 전달받은 암호화된 패킷을 검증하는데 실패한 경우, 상기 제어 장치에 상기 암호화된 패킷의 통계 정보를 전달할 수 있다.In addition, when the network device fails to verify the encrypted packet transmitted from the switch device, the network device may transmit statistical information of the encrypted packet to the control device.

또한, 상기 제어 장치는, 사전에 설정되는 시간 주기 정보에 따라 상기 키 목록 정보를 갱신하거나, 또는, 상기 스위치 또는 상기 네트워크 장치 중 적어도 하나의 요소에서 알림이 발생하는 경우, 상기 키 목록 정보를 갱신할 수 있다.In addition, the control device updates the key list information according to preset time period information, or when a notification occurs in at least one element of the switch or the network device, updates the key list information. can do.

또한, 상기 제어 장치는, 상기 네트워크 장치를 통과하는 패킷에 대한 정보를 나타내는 통계 정보를 서로 다른 네트워크 장치로부터 전달받고, 서로 다른 네트워크 장치로부터 전달받은 복수의 통계 정보를 비교하고, 상기 복수의 통계 정보를 비교하여 계산되는 비율이 사전에 설정되는 임계 비율을 만족하지 않는 경우, 알림을 출력하는, 네트워크 환경 관리 시스템.In addition, the control device receives statistical information indicating information on packets passing through the network device from different network devices, compares a plurality of statistical information received from different network devices, and the plurality of statistical information When the ratio calculated by comparing them does not satisfy a preset threshold ratio, a notification is outputted, a network environment management system.

본 발명의 다른 일측면은, 스위치 장치, 네트워크 장치 및 제어 장치를 이용하는 네트워크 환경 관리 방법에 있어서, 패킷의 경로를 설정하는 흐름 설정 정보에 따라 스위치 장치를 선정하는 단계; 상기 스위치 장치에 연결되는 네트워크 장치가 키 목록 정보를 전달받는 단계; 상기 스위치 장치가 호스트로부터 패킷을 전달받는 단계; 네트워크 장치가 상기 스위치 장치로부터 패킷을 전달받고, 패킷의 유형을 판단하여, 상기 패킷의 유형에 따라 상기 패킷을 제어하는 단계; 및 상기 패킷의 상태에 따라 알림을 출력하는 단계를 포함할 수 있다.Another aspect of the present invention provides a method for managing a network environment using a switch device, a network device, and a control device, the method comprising: selecting a switch device according to flow setting information for setting a path of a packet; Receiving, by a network device connected to the switch device, key list information; Receiving, by the switch device, a packet from a host; Receiving, by a network device, a packet from the switch device, determining a packet type, and controlling the packet according to the packet type; And outputting a notification according to the state of the packet.

또한, 상기 패킷을 제어하는 단계는, 스위치 장치로부터 상기 키 목록 정보를 이용하여 암호화된 패킷을 전달받는 단계; 상기 암호화된 패킷의 유형이 프로브 패킷에 해당되는지 판단하는 단계; 및 상기 암호화된 패킷이 프로브 패킷인 경우, 상기 다른 네트워크 장치의 키 목록 정보와 호환되도록 설정되는 상기 네트워크 장치의 키 목록 정보를 이용하여 암호화된 패킷을 복호화하여 무결성을 검증하는 단계를 더 포함할 수 있다.In addition, the controlling of the packet may include receiving an encrypted packet using the key list information from a switch device; Determining whether the type of the encrypted packet corresponds to a probe packet; And when the encrypted packet is a probe packet, verifying integrity by decrypting the encrypted packet using the key list information of the network device set to be compatible with the key list information of the other network device. have.

또한, 상기 패킷을 제어하는 단계는, 상기 스위치로부터 전달받는 패킷을 상기 키 목록 정보로 암호화하는 단계; 및 상기 키 목록 정보를 이용하여 암호화된 패킷을 상기 스위치 장치에 전달하는 단계를 더 포함할 수 있다.In addition, the controlling of the packet may include encrypting a packet received from the switch with the key list information; And transmitting the packet encrypted using the key list information to the switch device.

또한, 상기 패킷을 제어하는 단계는, 다른 네트워크 장치로부터 전달받은 암호화된 패킷을 검증하는데 실패한 경우, 상기 제어 장치에 상기 암호화된 패킷의 통계 정보를 전달하는 단계를 더 포함할 수 있다.In addition, the controlling of the packet may further include transmitting statistical information of the encrypted packet to the control device when it fails to verify the encrypted packet transmitted from another network device.

또한, 상기 키 목록 정보를 전달하는 단계는, 사전에 설정되는 시간 주기 정보에 따라 상기 키 목록 정보를 갱신하거나, 또는, 상기 스위치 또는 상기 네트워크 장치 중 적어도 하나의 요소에서 알림이 발생하는 경우, 상기 키 목록 정보를 갱신할 수 있다.In addition, the transmitting of the key list information may include updating the key list information according to preset time period information, or when a notification occurs in at least one element of the switch or the network device, the Key list information can be updated.

또한, 상기 알림을 출력하는 단계는, 서로 다른 네트워크 장치로부터 상기 네트워크 장치를 통과하는 패킷에 대한 정보를 나타내는 통계 정보를 전달받는 단계; 서로 다른 네트워크 장치로부터 전달받은 복수의 통계 정보를 비교하는 단계; 및 상기 복수의 통계 정보를 비교하여 계산되는 비율이 사전에 설정되는 임계 비율을 만족하지 않는 경우, 알림을 출력하는 단계를 더 포함할 수 있다.In addition, the outputting of the notification may include receiving statistical information indicating information on packets passing through the network device from different network devices; Comparing a plurality of statistical information received from different network devices; And outputting a notification when a ratio calculated by comparing the plurality of statistical information does not satisfy a preset threshold ratio.

상술한 본 발명의 일측면에 따르면, 손상된 스위치와 우회 공격을 탐지하는 네트워크 환경 관리 시스템 및 방법을 제공함으로써, 스위치 장치 및 네트워크 장치를 통과하는 패킷의 상태로부터 스위치 장치 또는 네트워크 장치의 손상과 우회 공격을 탐지할 수 있다.According to an aspect of the present invention described above, by providing a network environment management system and method for detecting a damaged switch and a bypass attack, damage and bypass attack of the switch device or network device from the state of the packet passing through the switch device and the network device. Can be detected.

도1은 본 발명의 일 실시예에 따른 네트워크 환경 관리 시스템의 개략도이다.
도2는 도1의 스위치 장치를 나타내는 제어블록도이다.
도3은 도1의 네트워크 장치를 나타내는 제어블록도이다.
도4는 도1의 제어 장치를 나타내는 제어블록도이다.
도5는 본 발명의 일 실시예에 따른 네트워크 환경 관리 시스템의 제어블록도이다.
도6은 본 발명의 일 실시예에 따른 네트워크 환경 관리 방법의 순서도이다.
도7은 도6의 패킷을 제어하는 단계를 나타내는 순서도이다.
도8은 도6의 알림을 출력하는 단계의 세부 순서도이다.1 is a schematic diagram of a network environment management system according to an embodiment of the present invention.
Fig. 2 is a control block diagram showing the switch device of Fig. 1;
3 is a control block diagram illustrating the network device of FIG. 1.
4 is a control block diagram showing the control device of FIG. 1.
5 is a control block diagram of a network environment management system according to an embodiment of the present invention.
6 is a flowchart of a network environment management method according to an embodiment of the present invention.
Fig. 7 is a flow chart showing the steps of controlling the packet of Fig. 6;
8 is a detailed flowchart of the step of outputting a notification of FIG. 6.

후술하는 본 발명에 대한 상세한 설명은, 본 발명이 실시될 수 있는 특정 실시예를 예시로서 도시하는 첨부 도면을 참조한다. 이들 실시예는 당업자가 본 발명을 실시할 수 있기에 충분하도록 상세히 설명된다. 본 발명의 다양한 실시예는 서로 다르지만 상호 배타적일 필요는 없음이 이해되어야 한다. 예를 들어, 여기에 기재되어 있는 특정 형상, 구조 및 특성은 일 실시예와 관련하여 본 발명의 정신 및 범위를 벗어나지 않으면서 다른 실시예로 구현될 수 있다. 또한, 각각의 개시된 실시예 내의 개별 구성요소의 위치 또는 배치는 본 발명의 정신 및 범위를 벗어나지 않으면서 변경될 수 있음이 이해되어야 한다. 따라서, 후술하는 상세한 설명은 한정적인 의미로서 취하려는 것이 아니며, 본 발명의 범위는, 적절하게 설명된다면, 그 청구항들이 주장하는 것과 균등한 모든 범위와 더불어 첨부된 청구항에 의해서만 한정된다. 도면에서 유사한 참조부호는 여러 측면에 걸쳐서 동일하거나 유사한 기능을 지칭한다.DETAILED DESCRIPTION OF THE PREFERRED EMBODIMENTS The detailed description of the present invention described below refers to the accompanying drawings, which illustrate specific embodiments in which the present invention may be practiced. These embodiments are described in detail sufficient to enable a person skilled in the art to practice the present invention. It should be understood that the various embodiments of the present invention are different from each other, but need not be mutually exclusive. For example, specific shapes, structures, and characteristics described herein may be implemented in other embodiments without departing from the spirit and scope of the present invention in connection with one embodiment. In addition, it should be understood that the location or arrangement of individual components within each disclosed embodiment may be changed without departing from the spirit and scope of the present invention. Accordingly, the detailed description to be described below is not intended to be taken in a limiting sense, and the scope of the present invention, if appropriately described, is limited only by the appended claims, along with all ranges equivalent to those claimed by the claims. Like reference numerals in the drawings refer to the same or similar functions over several aspects.

이하, 도면들을 참조하여 본 발명의 바람직한 실시예들을 보다 상세하게 설명하기로 한다.Hereinafter, preferred embodiments of the present invention will be described in more detail with reference to the drawings.

도1은 본 발명의 일 실시예에 따른 네트워크 환경 관리 시스템의 개략도이다.1 is a schematic diagram of a network environment management system according to an embodiment of the present invention.

네트워크 환경 관리 시스템(100)은 스위치 장치(110), 네트워크 장치(120) 및 제어 장치(130)를 포함할 수 있다.The network environment management system 100 may include a switch device 110, a network device 120, and a control device 130.

스위치 장치(110)는 호스트(140)로부터 패킷을 전달받을 수 있으며, 패킷이 전달되는 경로에 따라 선정되는 다른 스위치 장치(110)로 패킷을 전달할 수 있다.The switch device 110 may receive a packet from the host 140 and may transmit the packet to another switch device 110 selected according to a path through which the packet is transmitted.

여기에서, 패킷이 전달되는 경로는 패킷을 생성하는 호스트(140)로부터 패킷을 전달받는 호스트(140)까지의 경로를 의미하며, 이러한 경로는 복수 개의 스위치 장치(110) 및 네트워크 장치(120)를 포함할 수 있고, 제어 장치(130)에 의해 설정되어 스위치 장치(110)에 경로가 전달될 수 있다.Here, the path through which the packet is transmitted refers to a path from the host 140 generating the packet to the host 140 receiving the packet, and such a path includes a plurality of switch devices 110 and a network device 120. It may include, and may be set by the control device 130 to pass the path to the switch device 110.

이에 따라, 스위치 장치(110)는 제어 장치(130)에 의해 설정되는 경로에 존재하는 다른 스위치 장치(110) 또는 호스트(140)에 패킷을 전달할 수 있다.Accordingly, the switch device 110 may transmit a packet to the other switch device 110 or the host 140 existing in the path set by the control device 130.

이와 관련하여, 스위치 장치(110)는 다른 스위치 장치(110) 또는 호스트(140)로부터 전달받은 패킷을 다른 호스트(140)에 전달할 수 있다.In this regard, the switch device 110 may transmit a packet transmitted from the other switch device 110 or the host 140 to the other host 140.

이때, 스위치 장치(110)로부터 패킷이 전달되는 호스트(140)는 제어 장치(130)에 의해 패킷의 목적지로 설정되는 호스트(140)일 수 있다.In this case, the host 140 to which the packet is transmitted from the switch device 110 may be the host 140 set as the destination of the packet by the control device 130.

한편, 스위치 장치(110)는 호스트(140) 또는 다른 스위치 장치(110)로부터 전달받은 패킷을 네트워크 장치(120)에 전달할 수 있다.Meanwhile, the switch device 110 may transmit a packet received from the host 140 or another switch device 110 to the network device 120.

이에 따라, 네트워크 장치(120)는 패킷의 무결성을 검증하고, 암호화하여 스위치 장치(110)에 전달할 수 있다.Accordingly, the network device 120 may verify the integrity of the packet, encrypt the packet, and transmit it to the switch device 110.

스위치 장치(110)는 네트워크 장치(120)로부터 전달받는 패킷을 다른 스위치 장치(110) 또는 호스트(140)에 전달할 수 있다.The switch device 110 may transmit a packet received from the network device 120 to the other switch device 110 or the host 140.

네트워크 장치(120)는 스위치 장치(110)로부터 패킷을 전달받고, 패킷의 유형을 판단할 수 있으며, 여기에서, 패킷의 유형은 호스트(140)로부터 다른 호스트(140)로 정보를 전달하는 일반 패킷 또는 스위치 장치(110) 또는 네트워크 장치(120)의 환경을 판단하는 프로브 패킷을 포함할 수 있다.The network device 120 receives a packet from the switch device 110 and may determine the type of the packet. Here, the packet type is a general packet that transfers information from the host 140 to the other host 140 Alternatively, a probe packet for determining the environment of the switch device 110 or the network device 120 may be included.

네트워크 장치(120)는 전달받은 패킷의 유형이 일반 패킷인 경우에, 전달받은 패킷을 스위치 장치(110)에 전달할 수 있으며, 이에 따라, 스위치 장치(110)는 패킷의 전달 경로 상에 존재하는 다른 스위치 장치(110)에 패킷을 전달할 수 있다.When the type of the transmitted packet is a general packet, the network device 120 may transmit the received packet to the switch device 110, and accordingly, the switch device 110 Packets may be delivered to the switch device 110.

네트워크 장치(120)는 전달받은 패킷의 유형이 프로브 패킷인 경우에, 전달받은 패킷을 제어 장치(130)로부터 전달받는 키 목록 정보를 이용하여 복호화하여 무결성을 검증할 수 있다.When the type of the transmitted packet is a probe packet, the network device 120 may verify integrity by decrypting the transmitted packet using key list information transmitted from the control device 130.

이와 관련하여, 네트워크 장치(120)는 스위치 장치(110)를 통해서 다른 네트워크 장치(120)에 전달하는 패킷을 암호화할 수 있으며, 이에 따라, 네트워크 장치(120)가 전달받는 패킷은 키 목록 정보에 의해 암호화되어 있는 패킷일 수 있다.In this regard, the network device 120 may encrypt a packet transmitted to the other network device 120 through the switch device 110, and accordingly, the packet received by the network device 120 is included in the key list information. It may be a packet encrypted by.

이때, 패킷을 암호화 또는 복호화하는 것은 해시 함수를 이용할 수 있으며, 이에 따라, 키 목록 정보는 패킷을 암호화 또는 복호화하는 해시 함수를 포함하는 정보일 수 있다.In this case, a hash function may be used to encrypt or decrypt the packet, and accordingly, the key list information may be information including a hash function for encrypting or decrypting the packet.

이때, 키 목록 정보는 직전 경로에 존재하는 스위치 장치(110)와 연결되는 네트워크 장치(120)에서 패킷을 암호화하는데 이용되는 키 목록 정보와 동일하거나, 해당 키 목록 정보에 의해 암호화된 패킷의 복호화가 가능하도록 생성될 수 있다.At this time, the key list information is the same as the key list information used to encrypt the packet in the network device 120 connected to the switch device 110 existing in the immediately preceding path, or decryption of the packet encrypted by the corresponding key list information It can be created to be possible.

이를 위해, 키 목록 정보는 패킷을 암호화하는데 이용되는 암호화 키 및 암호화된 패킷을 복호화하는데 이용되는 복호화 키를 포함할 수 있다.To this end, the key list information may include an encryption key used to encrypt a packet and a decryption key used to decrypt the encrypted packet.

이러한 키 목록 정보는 제어 장치(130)가 네트워크 장치(120)에 키 목록 정보를 전달할 때, 직전 경로에 존재하는 네트워크 장치(120)의 키 목록 정보와 호환되는 키 목록 정보를 전달할 수 있으며, 여기에서, 키 목록 정보가 호환되는 것은 키 목록 정보의 암호화 키를 이용하여 암호화된 패킷에 대한 복호화 키를 다른 키 목록 정보가 포함하는 것을 의미할 수 있다.When the control device 130 transmits the key list information to the network device 120, the key list information may transmit key list information compatible with the key list information of the network device 120 existing in the immediately preceding path. Here, the compatibility of the key list information may mean that other key list information includes a decryption key for a packet encrypted using the encryption key of the key list information.

한편, 네트워크 장치(120)는 제어 장치(130)에 의해 호스트(140)로부터 다른 호스트(140)까지의 패킷이 전달되는 경로가 선정된 직후에, 직전 경로에 존재하는 네트워크 장치(120)로부터 해당 네트워크 장치(120)의 키 목록 정보와 호환되는 키 목록 정보를 전달받을 수도 있다.On the other hand, the network device 120 is immediately after the path through which the packet is transmitted from the host 140 to the other host 140 is selected by the control device 130, from the network device 120 existing in the immediately preceding path. Key list information compatible with the key list information of the network device 120 may be transmitted.

이러한 경우에, 각각의 네트워크 장치(120)는 제어 장치(130)로부터 암호화 키 및 해당 암호화 키로 암호화된 패킷을 복호화할 수 있는 복호화 키를 포함하는 키 목록 정보를 전달받을 수 있으며, 각각의 네트워크 장치(120)는 직전 경로에 존재하는 네트워크 장치(120)로부터 해당 네트워크 장치(120)가 전달받은 복호화 키를 전달받을 수 있다.In this case, each network device 120 may receive key list information including an encryption key and a decryption key for decrypting a packet encrypted with the corresponding encryption key from the control device 130, and each network device 120 may receive the decryption key received from the network device 120 from the network device 120 existing in the previous path.

이에 따라, 각각의 네트워크 장치(120)는 직전 경로에 존재하는 네트워크 장치(120)에 의해 암호화된 패킷을 전달받고, 키 목록 정보를 이용하여 복호화하여, 패킷의 무결성을 검증할 수 있다.Accordingly, each network device 120 may receive an encrypted packet by the network device 120 existing in the immediately preceding path, decrypt it using key list information, and verify the integrity of the packet.

이때, 직전 경로에 존재하는 네트워크 장치(120)는 임의의 네트워크 장치(120)에 연결되어 있는 스위치 장치(110)에 패킷을 전달하는 스위치 장치(110)와 연결되는 네트워크 장치(120)를 의미할 수 있다.At this time, the network device 120 existing in the immediately preceding path means the network device 120 connected to the switch device 110 that transmits a packet to the switch device 110 connected to the arbitrary network device 120. I can.

한편, 네트워크 장치(120)는 스위치 장치(110)로부터 전달받은 암호화된 패킷을 직전 경로에 존재하는 네트워크 장치(120)로부터 전달받은 복호화 키로 복호화하는데 실패하는 경우에, 복호화에 실패한 패킷의 통계 정보를 제어 장치(130)에 전달할 수 있으며, 이러한 경우에, 네트워크 장치(120)는 오류가 발생한 것을 알리는 알림을 출력할 수 있다.On the other hand, when the network device 120 fails to decrypt the encrypted packet transmitted from the switch device 110 with the decryption key received from the network device 120 existing in the immediately preceding path, the network device 120 stores statistical information of the packet that has failed to be decrypted. It may be transmitted to the control device 130, and in this case, the network device 120 may output a notification notifying that an error has occurred.

여기에서, 패킷의 통계 정보는 네트워크 장치(120)에서 송신하는 패킷의 개수, 스위치 장치(110)로부터 수신되는 패킷의 개수, 네트워크 장치(120)에서 분류되는 패킷 유형, 패킷의 크기 처리 시간, 네트워크 장치(120)에 대한 패킷의 도착 시간, 스위치 장치(110)로 패킷을 전송하는 전송 시간, 네트워크 장치(120)에서의 알림 발생 여부 등의 정보를 포함할 수 있다.Here, the statistical information of the packet is the number of packets transmitted from the network device 120, the number of packets received from the switch device 110, packet types classified by the network device 120, packet size processing time, network It may include information such as an arrival time of a packet to the device 120, a transmission time of transmitting a packet to the switch device 110, and whether a notification occurs in the network device 120.

이에 따라, 제어 장치(130)는 스위치 장치(110) 간에 패킷 송수신 도중에 삭제되는 패킷의 개수 등을 계산하여 통계 정보에 포함시킬 수 있다.Accordingly, the control device 130 may calculate the number of packets deleted during packet transmission/reception between the switch device 110 and include it in the statistical information.

이와 관련하여, 제어 장치(130)는 서로 다른 네트워크 장치(120)로부터 통계 정보를 전달받고, 호스트(140) 간의 송수신 중에 특정 스위치 장치(110)에서 삭제되는 패킷의 개수를 파악하여 손상된 스위치 장치(110)를 검출할 수 있다.In this regard, the control device 130 receives statistical information from different network devices 120, and detects the number of packets that are deleted from the specific switch device 110 during transmission/reception between the host 140 and the damaged switch device ( 110) can be detected.

또한, 패킷의 전달 경로 내에서 인접하는 복수 개의 네트워크 장치(120)에서 송신하는 패킷의 개수와 수신하는 패킷의 개수를 비교하여, 임계 비율을 만족하지 않는 경우에, 해당 네트워크 장치(120)가 외부로부터 공격을 받거나, 손상된 것을 검출할 수 있다.In addition, the number of packets transmitted from a plurality of network devices 120 adjacent to each other within the packet transmission path is compared with the number of packets received, and when the threshold ratio is not satisfied, the corresponding network device 120 Attacks from or damage can be detected.

여기에서, 임계 비율은 서로 다른 네트워크 장치(120)에서 송신하는 패킷의 개수와 수신하는 패킷의 개수의 차이 비율을 의미하며, 예를 들어, 임계 비율은 5%로 설정될 수 있으며, 이러한 경우에, 임의의 네트워크 장치(120)에서 송신하는 패킷의 개수가 100이고, 해당 네트워크 장치(120)의 직후 경로에 존재하는 네트워크 장치(120)에서 수신하는 패킷의 개수가 94인 경우에, 송신하는 패킷의 개수와 수신하는 패킷의 개수의 차이 비율이 6%이므로, 임계 비율로 설정된 5%를 초과하여, 직후 경로에 존재하는 네트워크 장치(120)가 손상된 네트워크 장치(120)로 검출될 수 있다.Here, the threshold ratio means the difference ratio between the number of packets transmitted from different network devices 120 and the number of packets received. For example, the threshold ratio may be set to 5%, in this case , When the number of packets transmitted from the network device 120 is 100, and the number of packets received by the network device 120 present in the path immediately after the network device 120 is 94, the packet to be transmitted Since the difference ratio between the number of packets and the number of packets received is 6%, the network device 120 existing in the path immediately after exceeding 5% set as the threshold ratio may be detected as the damaged network device 120.

한편, 이러한 임계 비율은 패킷의 감소에 따른 임계 비율 및 패킷의 증가에 따른 임계 비율이 각각 설정될 수 있으며, 임계 비율은 송신하는 패킷의 개수와 수신하는 패킷의 개수의 비율을 나타내도록 설정될 수도 있다.Meanwhile, the threshold ratio may be set to indicate a ratio of the number of packets to be transmitted and the number of packets to be received. have.

이와 관련하여, 제어 장치(130)는 스위치 장치(110) 또는 네트워크 장치(120) 중 적어도 하나의 장치에 고장, 손상, 공격 등이 발생한 것으로 판단되는 경우에, 해당 장치에 문제가 발생한 것을 알리도록 알림을 출력할 수 있다.In this regard, when it is determined that a failure, damage, attack, etc. has occurred in at least one of the switch device 110 or the network device 120, the control device 130 notifies that a problem has occurred in the device. You can print a notification.

여기에서, 스위치 장치(110), 네트워크 장치(120) 및 제어 장치(130)에서 출력되는 알림은 소리 알림, 불빛 알림, 진동 알림 등을 포함할 수 있으며, 알림이 출력되는 상황을 나타내는 패턴 정보에 따라 사전에 설정되는 문장, 그림 등의 시각적 알림이 출력되도록 설정될 수도 있다.Here, the notifications output from the switch device 110, the network device 120, and the control device 130 may include sound notifications, light notifications, vibration notifications, and the like. Accordingly, it may be set to output visual notifications such as sentences and pictures that are set in advance.

한편, 제어 장치(130)는 패킷을 생성하는 호스트(140) 및 패킷을 전달받는 호스트(140) 사이에서, 패킷의 경로를 설정하는 흐름 설정 정보에 따라 스위치 장치(110)를 선정할 수 있다.Meanwhile, the control device 130 may select the switch device 110 between the host 140 generating the packet and the host 140 receiving the packet according to flow setting information for setting a path of the packet.

여기에서, 흐름 설정 정보는 복수의 호스트(140)를 연결하는 가장 적은 개수의 스위치 장치(110)를 선정하도록 설정될 수 있으며, 흐름 설정 정보는 복수의 호스트(140) 사이에 존재하는 스위치 장치(110)에 걸리는 부하가 일정 크기를 넘지 않도록 스위치 장치(110)를 선정할 수도 있다.Here, the flow setting information may be set to select the smallest number of switch devices 110 that connect the plurality of hosts 140, and the flow setting information is a switch device existing between the plurality of hosts 140 ( The switch device 110 may be selected so that the load applied to 110) does not exceed a predetermined size.

부하가 일정 크기를 넘지 않도록 스위치 장치(110)를 선정하는 것은 복수의 호스트(140)를 연결하는 가장 적은 개수의 스위치 장치(110)를 선정하되, 선정된 스위치 장치(110) 중에서 부하가 일정 크기를 넘는 경우에, 해당 스위치 장치(110)를 우회하여 복수의 호스트(140)를 연결하도록 선정되는 것일 수 있다.Selecting the switch device 110 so that the load does not exceed a certain size is to select the smallest number of switch devices 110 connecting the plurality of hosts 140, but the load is a certain size among the selected switch devices 110 In the case of exceeding, it may be selected to connect the plurality of hosts 140 by bypassing the corresponding switch device 110.

한편, 제어 장치(130)는 복수의 호스트(140)를 연결하도록 생성되는 흐름 설정 정보를 스위치 장치(110)에 전달할 수 있으며, 이에 따라, 스위치 장치(110)는 흐름 설정 정보에 따라 패킷을 전달할 다른 스위치 장치(110) 또는 호스트(140)를 선정할 수 있다.Meanwhile, the control device 130 may transmit flow setting information generated to connect the plurality of hosts 140 to the switch device 110, and accordingly, the switch device 110 transmits a packet according to the flow setting information. Another switch device 110 or host 140 may be selected.

제어 장치(130)는 패킷의 경로로 선정되는 스위치 장치(110)에 연결되는 네트워크 장치(120)에 키 목록 정보를 전달할 수 있다.The control device 130 may transmit key list information to the network device 120 connected to the switch device 110 selected as a packet path.

이때, 제어 장치(130)는 각각의 네트워크 장치(120)에 암호화 키를 전달할 수 있으며, 제어 장치(130)는 각각의 네트워크 장치(120)에 인접하는 네트워크 장치(120)의 암호화 키로 암호화되는 정보를 복호화할 수 있는 복호화 키를 각각의 네트워크 장치(120)에 전달할 수 있다.At this time, the control device 130 may transmit the encryption key to each network device 120, and the control device 130 is information encrypted with the encryption key of the network device 120 adjacent to each network device 120 A decryption key capable of decrypting a may be transmitted to each network device 120.

여기에서, 각각의 네트워크 장치(120)에 인접하는 네트워크 장치(120)는 각각의 네트워크 장치(120)에 연결되는 스위치 장치(110)에 대해, 직전 경로에 존재하는 스위치 장치(110)에 연결되는 네트워크 장치(120)를 의미할 수 있다.Here, the network device 120 adjacent to each network device 120 is connected to the switch device 110 existing in the immediately preceding path for the switch device 110 connected to each network device 120. It may mean the network device 120.

한편, 제어 장치(130)는 네트워크 장치(120)에 암호화 키 및 해당 암호화 키로 암호화된 정보를 복호화할 수 있는 복호화 키를 포함하는 키 목록 정보를 전달할 수도 있다.Meanwhile, the control device 130 may transmit key list information including an encryption key and a decryption key capable of decrypting information encrypted with the encryption key to the network device 120.

이러한 경우에, 각각의 네트워크 장치(120)는 직전 경로에 존재하는 네트워크 장치(120)로부터 해당 네트워크 장치(120)가 전달받은 복호화 키를 전달받을 수 있다.In this case, each network device 120 may receive the decryption key received from the network device 120 from the network device 120 existing in the immediately preceding path.

한편, 제어 장치(130)는 일정한 시간 간격을 나타내는 시간 주기 정보에 따라 네트워크 장치(120)에 새로운 키 목록 정보를 전달하여, 네트워크 장치(120)에 전달된 키 목록 정보를 갱신할 수 있다.Meanwhile, the control device 130 may update the key list information transmitted to the network device 120 by transmitting new key list information to the network device 120 according to time period information indicating a predetermined time interval.

이러한 경우에, 네트워크 장치(120)는 이전에 전달받은 키 목록 정보를 제거하고, 새로운 키 목록 정보를 전달받을 수 있다.In this case, the network device 120 may remove the previously transmitted key list information and receive new key list information.

또한, 제어 장치(130)는 인접하는 네트워크 장치(120) 간에는 키 목록 정보가 호환되도록 생성할 수 있으며, 제어 장치(130)는 동일한 경로 상에 존재하는 네트워크 장치(120)에 대해, 동일한 키 목록 정보를 생성하여 전달할 수도 있다.In addition, the control device 130 may generate the key list information to be compatible between adjacent network devices 120, and the control device 130 may provide the same key list for the network devices 120 existing on the same path. You can also create and deliver information.

또한, 제어 장치(130)는 스위치 장치(110) 또는 네트워크 장치(120) 중 적어도 하나의 장치에서 알림이 발생하는 경우에, 네트워크 장치(120)에 새로운 키 목록 정보를 전달하여, 네트워크 장치(120)에 전달된 키 목록 정보를 갱신할 수 있다.In addition, when a notification occurs in at least one of the switch device 110 or the network device 120, the control device 130 transmits new key list information to the network device 120, and the network device 120 You can update the key list information delivered to ).

도2는 도1의 스위치 장치를 나타내는 제어블록도이다.Fig. 2 is a control block diagram showing the switch device of Fig. 1;

스위치 장치(110)는 스위치 통신부(111) 및 경로 제어부(112)를 포함할 수 있다.The switch device 110 may include a switch communication unit 111 and a path control unit 112.

스위치 통신부(111)는 호스트(140)로부터 패킷을 전달받을 수 있으며, 패킷이 전달되는 경로에 따라 제어 장치(130)로부터 선정되는 다른 스위치 장치(110)로 패킷을 전달할 수 있다.The switch communication unit 111 may receive a packet from the host 140 and may transmit the packet from the control device 130 to another switch device 110 selected from the control device 130 according to a path through which the packet is transmitted.

또한, 스위치 통신부(111)는 다른 스위치 장치(110)로부터 패킷을 전달받고, 스위치 장치(110)에 연결되는 네트워크 장치(120)에 전달할 수 있으며, 스위치 통신부(111)는 네트워크 장치(120)로부터 패킷을 전달받고, 제어 장치(130)에 의해 선정되는 경로 상의 다른 스위치 장치(110) 또는 호스트(140)에 패킷을 전달할 수 있다.In addition, the switch communication unit 111 may receive a packet from another switch device 110 and transmit the packet to the network device 120 connected to the switch device 110, and the switch communication unit 111 The packet may be received, and the packet may be delivered to another switch device 110 or host 140 on a path selected by the control device 130.

한편, 스위치 통신부(111)는 제어 장치(130)로부터 패킷의 경로를 나타내는 흐름 설정 정보를 전달받을 수 있다.Meanwhile, the switch communication unit 111 may receive flow setting information indicating a packet path from the control device 130.

경로 제어부(112)는 스위치 통신부(111)에서 전달받은 흐름 설정 정보에 따라 스위치 통신부(111)에서 패킷을 전달하는 다른 스위치 장치(110) 또는 호스트(140)를 설정할 수 있다.The path control unit 112 may set another switch device 110 or host 140 that transmits a packet from the switch communication unit 111 according to the flow setting information received from the switch communication unit 111.

다시 말해서, 경로 제어부(112)는 다른 스위치 장치(110) 또는 네트워크 장치(120)로부터 전달받은 패킷을 전달할 다른 스위치 장치(110) 또는 호스트(140)를 제어 장치(130)로부터 전달받은 흐름 설정 정보에 따라 선택할 수 있다.In other words, the path control unit 112 transmits the other switch device 110 or the host 140 to which the packet received from the other switch device 110 or the network device 120 is transmitted from the control device 130. You can choose according to.

도3은 도1의 네트워크 장치를 나타내는 제어블록도이다.3 is a control block diagram illustrating the network device of FIG. 1.

네트워크 장치(120)는 네트워크 통신부(121), 분류부(122), 암호부(123) 및 네트워크 출력부(124)를 포함할 수 있다.The network device 120 may include a network communication unit 121, a classification unit 122, an encryption unit 123, and a network output unit 124.

네트워크 통신부(121)는 스위치 장치(110)로부터 암호화되어 있는 패킷을 전달받을 수 있으며, 네트워크 통신부(121)는 스위치 장치(110)에 암호화된 패킷을 전달할 수 있다.The network communication unit 121 may receive an encrypted packet from the switch device 110, and the network communication unit 121 may transmit the encrypted packet to the switch device 110.

네트워크 통신부(121)는 제어 장치(130)로부터 키 목록 정보를 전달받을 수 있으며, 네트워크 통신부(121)는 제어 장치(130)에 네트워크 장치(120)를 거치는 패킷의 정보를 나타내는 통계 정보를 전달할 수 있다.The network communication unit 121 may receive key list information from the control device 130, and the network communication unit 121 may transmit statistical information indicating information of a packet passing through the network device 120 to the control device 130. have.

분류부(122)는 스위치 장치(110)로부터 전달받는 패킷이 프로브 패킷에 해당되는지 판단할 수 있다.The classifier 122 may determine whether a packet received from the switch device 110 corresponds to a probe packet.

이를 위해, 패킷의 헤더에는 해당 패킷이 프로브 패킷에 해당되는지 판단할 수 있는 정보가 포함될 수 있다.To this end, the header of the packet may include information for determining whether the corresponding packet corresponds to a probe packet.

분류부(122)는 스위치 장치(110)로부터 전달받는 패킷이 프로브 패킷에 해당되지 않는 경우에, 해당 패킷을 네트워크 통신부(121)에 전달하여 스위치 장치(110)에 전달되도록 할 수 있다.When a packet received from the switch device 110 does not correspond to a probe packet, the classification unit 122 may transmit the packet to the network communication unit 121 to be transmitted to the switch device 110.

암호부(123)는 분류부(122)에서 프로브 패킷을 판단한 경우에, 해당 패킷을 키 목록 정보를 이용하여 복호화할 수 있다.When the classification unit 122 determines the probe packet, the encryption unit 123 may decrypt the corresponding packet using the key list information.

이때, 네트워크 통신부(121)는 암호부(123)에서 프로브 패킷의 복호화에 실패한 경우에, 해당 패킷을 제거하고, 제어 장치(130)에 통계 정보를 전달할 수 있으며, 네트워크 출력부(124)는 복호화에 실패한 경우에, 복호화 실패를 알리는 알림을 출력할 수 있다.At this time, when the encryption unit 123 fails to decrypt the probe packet, the network communication unit 121 may remove the packet and transmit statistical information to the control device 130, and the network output unit 124 decrypts the packet. In case of failure, a notification notifying that the decryption has failed may be output.

여기에서, 네트워크 출력부(124)에서 출력되는 알림은 소리 알림, 불빛 알림, 진동 알림 등을 포함할 수 있으며, 알림이 출력되는 상황을 나타내는 패턴 정보에 따라 사전에 설정되는 문장, 그림 등의 시각적 알림이 출력되도록 설정될 수도 있다.Here, the notification output from the network output unit 124 may include a sound notification, a light notification, a vibration notification, and the like. It can also be set to display a notification.

암호부(123)는 키 목록 정보를 이용하여 패킷을 복호화한 경우에, 해당 패킷에 대해, 무결성을 검증하고, 해당 패킷을 키 목록 정보의 암호화 키를 이용하여 암호화할 수 있다.When the packet is decrypted using the key list information, the encryption unit 123 may verify integrity of the packet and encrypt the packet using the encryption key of the key list information.

이에 따라, 네트워크 통신부(121)는 암호화된 패킷을 스위치 장치(110)에 전달할 수 있다.Accordingly, the network communication unit 121 may transmit the encrypted packet to the switch device 110.

여기에서, 패킷의 무결성을 검증하는 것은, 패킷 내부에 구비되는 무결성 검증을 위한 정보의 상태를 확인하고, 해당 정보에 대한 무결성 조건에 따라 패킷의 무결성을 검증하는 것일 수 있다.Here, verifying the integrity of the packet may include checking a state of information for verifying integrity provided inside the packet, and verifying the integrity of the packet according to an integrity condition for the corresponding information.

또한, 패킷의 무결성을 검증하는 것은 동일한 암호화 키 및 해당 암호화 키에 대한 복호화 키를 포함하는 키 목록 정보를 전달받고, 네트워크 통신부(121)에서 전달받은 패킷을 복호화하고, 다시 암호화하는 경우에, 전달받은 패킷의 정보와 새롭게 암호화된 패킷의 정보가 동일한 경우에, 무결성이 검증된 것일 수도 있으며, 이러한 경우에, 패킷의 경로 상에 존재하는 서로 다른 네트워크 장치(120)는 제어 장치(130)로부터 동일한 키 목록 정보를 전달받을 수도 있다. In addition, to verify the integrity of the packet, when receiving key list information including the same encryption key and a decryption key for the corresponding encryption key, decrypting the packet received from the network communication unit 121, and re-encrypting it, it is delivered. When the received packet information and the newly encrypted packet information are the same, integrity may be verified. In this case, different network devices 120 present on the packet path are the same from the control device 130. You can also receive key list information.

도4는 도1의 제어 장치를 나타내는 제어블록도이다.4 is a control block diagram showing the control device of FIG. 1.

제어 장치(130)는 제어 통신부(131), 경로 선정부(132), 암호 생성부(133), 통계 제어부(134) 및 제어 출력부(135)를 포함할 수 있다.The control device 130 may include a control communication unit 131, a path selection unit 132, a password generation unit 133, a statistics control unit 134, and a control output unit 135.

제어 통신부(131)는 스위치 장치(110)에 제어 흐름 정보를 전달할 수 있다.The control communication unit 131 may transmit control flow information to the switch device 110.

제어 통신부(131)는 네트워크 장치(120)에 키 목록 정보를 전달할 수 있으며, 제어 통신부(131)는 네트워크 장치(120)로부터 통계 정보를 전달받을 수 있다.The control communication unit 131 may transmit key list information to the network device 120, and the control communication unit 131 may receive statistical information from the network device 120.

경로 선정부(132)는 패킷을 생성하는 호스트(140) 및 패킷을 전달받는 호스트(140) 사이에서, 패킷의 경로를 설정하는 흐름 설정 정보에 따라 스위치 장치(110)를 선정할 수 있다.The path selection unit 132 may select the switch device 110 between the host 140 generating the packet and the host 140 receiving the packet according to flow setting information for setting the path of the packet.

여기에서, 흐름 설정 정보는 복수의 호스트(140)를 연결하는 가장 적은 개수의 스위치 장치(110)를 선정하도록 설정될 수 있으며, 흐름 설정 정보는 복수의 호스트(140) 사이에 존재하는 스위치 장치(110)에 걸리는 부하가 일정 크기를 넘지 않도록 스위치 장치(110)를 선정할 수도 있다.Here, the flow setting information may be set to select the smallest number of switch devices 110 that connect the plurality of hosts 140, and the flow setting information is a switch device existing between the plurality of hosts 140 ( The switch device 110 may be selected so that the load applied to 110) does not exceed a predetermined size.

암호 생성부(133)는 네트워크 장치(120)에서 이용되는 키 목록 정보를 생성할 수 있다.The encryption generator 133 may generate key list information used in the network device 120.

이때, 키 목록 정보는 인접하는 네트워크 장치(120) 간에는 키 목록 정보가 호환되도록 생성될 수 있으며, 암호 생성부(133)는 동일한 경로 상에 존재하는 네트워크 장치(120)에 대해, 동일한 키 목록 정보를 생성할 수도 있다.At this time, the key list information may be generated so that the key list information is compatible between adjacent network devices 120, and the password generator 133 is the same key list information for the network devices 120 existing on the same path. You can also create

한편, 암호 생성부(133)는 일정한 시간 간격을 나타내는 시간 주기 정보에 따라 새로운 키 목록 정보를 생성하여, 제어 통신부(131)를 통해 네트워크 장치(120)에 전달할 수 있다.Meanwhile, the encryption generator 133 may generate new key list information according to time period information indicating a certain time interval, and transmit it to the network device 120 through the control communication unit 131.

또한, 암호 생성부(133)는 스위치 장치(110) 또는 네트워크 장치(120) 중 적어도 하나의 장치에서 알림이 발생하는 경우에 새로운 키 목록 정보를 생성할 수도 있다.In addition, the password generator 133 may generate new key list information when a notification occurs in at least one of the switch device 110 and the network device 120.

통계 제어부(134)는 서로 다른 네트워크 장치(120)로부터 전달받은 통계 정보로부터, 호스트(140) 간의 송수신 중에 특정 스위치 장치(110)에서 삭제되는 패킷의 개수를 파악하여 손상된 스위치 장치(110)를 검출할 수 있다.The statistical control unit 134 detects the damaged switch device 110 by determining the number of packets deleted from the specific switch device 110 during transmission/reception between the host 140 from the statistical information transmitted from the different network devices 120 can do.

통계 제어부(134)는 패킷의 전달 경로 내에서 인접하는 복수 개의 네트워크 장치(120)에서 송신하는 패킷의 개수와 수신하는 패킷의 개수를 비교하여, 임계 비율을 만족하지 않는 경우에, 해당 네트워크 장치(120)가 외부로부터 공격을 받거나, 손상된 것을 검출할 수 있다.The statistical control unit 134 compares the number of packets transmitted by a plurality of network devices 120 adjacent to the number of packets received in the transmission path of the packet, and when the threshold ratio is not satisfied, the corresponding network device ( 120) is attacked or damaged from the outside.

제어 출력부(135)는 스위치 장치(110) 또는 네트워크 장치(120) 중 적어도 하나의 장치에 고장, 손상, 공격 등이 발생한 것으로 판단되는 경우에, 해당 장치에 문제가 발생한 것을 알리도록 알림을 출력할 수 있다.When it is determined that at least one of the switch device 110 or the network device 120 has failed, damaged, or attacked, the control output unit 135 outputs a notification to notify that a problem has occurred in the device. can do.

여기에서, 제어 출력부(135)에서 출력되는 알림은 소리 알림, 불빛 알림, 진동 알림 등을 포함할 수 있으며, 알림이 출력되는 상황을 나타내는 패턴 정보에 따라 사전에 설정되는 문장, 그림 등의 시각적 알림이 출력되도록 설정될 수도 있다.Here, the notification output from the control output unit 135 may include a sound notification, a light notification, a vibration notification, and the like. It can also be set to display a notification.

도5는 본 발명의 일 실시예에 따른 네트워크 환경 관리 시스템의 제어블록도이다.5 is a control block diagram of a network environment management system according to an embodiment of the present invention.

도5를 참조하면, 제어 장치(130)의 경로 선정부(132)는 패킷을 생성하는 호스트(140) 및 패킷을 전달받는 호스트(140) 사이에서, 패킷의 경로를 설정하는 흐름 설정 정보에 따라 스위치 장치(110)를 선정하여, 해당 스위치 장치(110)에 흐름 설정 정보를 제어 통신부(131)를 통해 전달하는 것을 확인할 수 있다.Referring to FIG. 5, the path selection unit 132 of the control device 130 is between the host 140 generating the packet and the host 140 receiving the packet, according to flow setting information for setting the path of the packet. By selecting the switch device 110, it can be confirmed that the flow setting information is transmitted to the corresponding switch device 110 through the control communication unit 131.

또한, 암호 생성부(133)는 경로 선정부(132)에 의해 생성된 패킷의 경로 내에 존재하는 네트워크 장치(120)에 키 목록 정보를 전달하는 것을 확인할 수 있다.In addition, it can be seen that the encryption generator 133 transmits the key list information to the network device 120 existing in the path of the packet generated by the path selection unit 132.

이때, 암호 생성부(133)는 일정한 시간 간격을 나타내는 시간 주기 정보에 따라 새로운 키 목록 정보를 생성하여, 제어 통신부(131)를 통해 네트워크 장치(120)에 전달할 수 있다.In this case, the encryption generator 133 may generate new key list information according to time period information indicating a predetermined time interval, and transmit the new key list information to the network device 120 through the control communication unit 131.

한편, 통계 제어부(134)는 네트워크 장치(120)로부터 통계 정보를 전달받는 것을 확인할 수 있으며, 이에 따라, 통계 제어부(134)는 서로 다른 네트워크 장치(120)로부터 전달받은 통계 정보로부터, 호스트(140) 간의 송수신 중에 특정 스위치 장치(110)에서 삭제되는 패킷의 개수를 파악하여 손상된 스위치 장치(110)를 검출할 수 있다.On the other hand, the statistics control unit 134 can confirm that statistics information is received from the network device 120, and accordingly, the statistics control unit 134 receives the host 140 from the statistics information transmitted from the different network devices 120. ) It is possible to detect the damaged switch device 110 by determining the number of packets deleted by the specific switch device 110 during transmission/reception.

또한, 통계 제어부(134)는 서로 다른 네트워크 장치(120)로부터 전달받은 통계 정보로부터, 패킷의 전달 경로 내에서 인접하는 복수 개의 네트워크 장치(120)에서 송신하는 패킷의 개수와 수신하는 패킷의 개수를 비교하여, 임계 비율을 만족하지 않는 경우에, 해당 네트워크 장치(120)가 외부로부터 공격을 받거나, 손상된 것을 검출할 수 있다.In addition, the statistical control unit 134 determines the number of packets transmitted and the number of packets received from a plurality of network devices 120 adjacent to each other in the packet transmission path from statistical information transmitted from different network devices 120. In comparison, when the threshold ratio is not satisfied, it may be detected that the network device 120 is attacked or damaged from the outside.

한편, 암호 생성부(133)는 통계 제어부(134)에 의해 스위치 장치(110) 또는 네트워크 장치(120) 중 적어도 하나의 장치에서 오류가 발생한 것으로 판단되는 경우에 새로운 키 목록 정보를 생성하여 네트워크 장치(120)에 전달할 수 있으며, 암호 생성부(133)는 스위치 장치(110) 또는 네트워크 장치(120)에서 알림이 발생한 것을 검출하는 경우에도 키 목록 정보를 갱신할 수 있다.Meanwhile, the password generation unit 133 generates new key list information when it is determined that an error has occurred in at least one of the switch device 110 or the network device 120 by the statistical control unit 134 It may be transmitted to 120, and the password generator 133 may update the key list information even when the switch device 110 or the network device 120 detects that a notification has occurred.

도6은 본 발명의 일 실시예에 따른 네트워크 환경 관리 방법의 순서도이다.6 is a flowchart of a network environment management method according to an embodiment of the present invention.

본 발명의 일 실시예에 따른 네트워크 환경 관리 방법은 도 1에 도시된 네트워크 환경 관리 시스템(100)과 실질적으로 동일한 구성 상에서 진행되므로, 도 1의 네트워크 환경 관리 시스템(100)과 동일한 구성요소에 대해 동일한 도면 부호를 부여하고, 반복되는 설명은 생략하기로 한다.Since the network environment management method according to an embodiment of the present invention proceeds on substantially the same configuration as the network environment management system 100 shown in FIG. 1, the same components as the network environment management system 100 of FIG. The same reference numerals are assigned, and repeated descriptions will be omitted.

네트워크 환경 관리 방법은 스위치 장치를 선정하는 단계(600), 키 목록 정보를 전달받는 단계(610), 패킷을 전달받는 단계(620), 패킷을 제어하는 단계(630) 및 알림을 출력하는 단계(640)를 포함할 수 있다.The network environment management method includes selecting a switch device (600), receiving key list information (610), receiving a packet (620), controlling a packet (630), and outputting a notification ( 640).

스위치 장치를 선정하는 단계(600)는 패킷을 생성하는 호스트(140) 및 패킷을 전달받는 호스트(140) 사이에서, 패킷의 경로를 설정하는 흐름 설정 정보에 따라 스위치 장치(110)를 선정할 수 있다.In the step 600 of selecting a switch device, between the host 140 generating the packet and the host 140 receiving the packet, the switch device 110 may be selected according to flow setting information for setting a path of the packet. have.

여기에서, 스위치 장치를 선정하는 단계(600)는 복수의 호스트(140)를 연결하는 가장 적은 개수의 스위치 장치(110)를 선정할 수 있으며, 스위치 장치를 선정하는 단계(600)는 복수의 호스트(140) 사이에 존재하는 스위치 장치(110)에 걸리는 부하가 일정 크기를 넘지 않도록 스위치 장치(110)를 선정할 수도 있다.Here, in the step 600 of selecting a switch device, the smallest number of switch devices 110 connecting the plurality of hosts 140 may be selected, and the step 600 of selecting a switch device is performed by a plurality of hosts. The switch device 110 may be selected so that the load applied to the switch device 110 existing between 140 does not exceed a predetermined size.

이에 따라, 스위치 장치를 선정하는 단계(600)는 복수의 호스트(140)를 연결하도록 생성되는 흐름 설정 정보를 스위치 장치(110)에 전달할 수 있으며, 이에 따라, 스위치 장치(110)는 흐름 설정 정보에 따라 패킷을 전달할 다른 스위치 장치(110) 또는 호스트(140)를 선정할 수 있다.Accordingly, in the step 600 of selecting the switch device, the flow setting information generated to connect the plurality of hosts 140 may be transmitted to the switch device 110, and accordingly, the switch device 110 is provided with the flow setting information. According to the packet transmission, another switch device 110 or a host 140 may be selected.

키 목록 정보를 전달받는 단계(610)는 패킷의 경로로 선정되는 스위치 장치(110)에 연결되는 네트워크 장치(120)가 키 목록 정보를 제어 장치(130)로부터 전달받을 수 있다.In step 610 of receiving the key list information, the network device 120 connected to the switch device 110 selected as a packet path may receive the key list information from the control device 130.

이때, 키 목록 정보를 전달받는 단계(610)는 제어 장치(130)로부터 각각의 네트워크 장치(120)가 암호화 키를 전달받을 수 있으며, 키 목록 정보를 전달받는 단계(610)는 각각의 네트워크 장치(120)에 인접하는 네트워크 장치(120)의 암호화 키에 대한 복호화 키를 각각의 네트워크 장치(120)가 전달받을 수 있다.At this time, in the step 610 of receiving the key list information, each network device 120 may receive the encryption key from the control device 130, and the step 610 of receiving the key list information is each network device. Each network device 120 may receive a decryption key for the encryption key of the network device 120 adjacent to 120.

한편, 키 목록 정보를 전달받는 단계(610)는 제어 장치(130)로부터 네트워크 장치(120)가 암호화 키 및 해당 암호화 키에 대한 복호화 키를 포함하는 키 목록 정보를 전달받을 수도 있으며, 이러한 경우에, 각각의 네트워크 장치(120)는 직전 경로에 존재하는 네트워크 장치(120)로부터 해당 네트워크 장치(120)가 전달받은 복호화 키를 전달받을 수 있다.Meanwhile, in the step 610 of receiving the key list information, the network device 120 may receive key list information including an encryption key and a decryption key for the corresponding encryption key from the control device 130. In this case, , Each network device 120 may receive the decryption key received from the network device 120 from the network device 120 existing in the immediately preceding path.

또한, 키 목록 정보를 전달받는 단계(610)는 동일한 경로 상에 존재하는 네트워크 장치(120)에 대해, 동일한 키 목록 정보를 전달받을 수도 있다.In addition, in the step 610 of receiving the key list information, the same key list information may be transmitted to the network device 120 existing on the same path.

패킷을 전달받는 단계(620)는 스위치 장치(110)가 호스트(140) 또는 다른 스위치 장치(110)로부터 패킷을 전달받을 수 있다.In step 620 of receiving the packet, the switch device 110 may receive the packet from the host 140 or another switch device 110.

패킷을 제어하는 단계(630)는 스위치 장치(110)로부터 네트워크 장치(120)가 패킷을 전달받을 수 있다.In step 630 of controlling the packet, the network device 120 may receive the packet from the switch device 110.

이때, 패킷을 제어하는 단계(630)에서 전달받는 패킷은 다른 네트워크 장치(120)의 키 목록 정보에 의해 암호화된 패킷일 수 있다.In this case, the packet transmitted in the step of controlling the packet 630 may be a packet encrypted by the key list information of the other network device 120.

패킷을 제어하는 단계(630)는 스위치 장치(110)로부터 전달받은 패킷의 유형을 판단할 수 있으며, 패킷을 제어하는 단계(630)는 전달받은 패킷의 유형이 일반 패킷인 경우에, 전달받은 패킷을 스위치 장치(110)에 전달할 수 있으며, 이에 따라, 스위치 장치(110)는 패킷의 전달 경로 상에 존재하는 다른 스위치 장치(110)에 패킷을 전달할 수 있다.In the step of controlling the packet 630, the type of the packet transmitted from the switch device 110 may be determined, and in the step of controlling the packet 630, when the type of the transmitted packet is a normal packet, the received packet May be transmitted to the switch device 110, and accordingly, the switch device 110 may transmit the packet to another switch device 110 existing on the forwarding path of the packet.

패킷을 제어하는 단계(630)는 전달받은 패킷의 유형이 프로브 패킷인 경우에, 전달받은 패킷을 제어 장치(130)로부터 전달받는 키 목록 정보를 이용하여 복호화하여 무결성을 검증할 수 있다.In the step 630 of controlling the packet, when the type of the transmitted packet is a probe packet, the transmitted packet may be decrypted using key list information transmitted from the control device 130 to verify integrity.

이때, 패킷을 제어하는 단계(630)는 다른 네트워크 장치(120)의 키 목록 정보와 호환되도록 설정되는 키 목록 정보를 이용하여 암호화된 패킷을 복호화하여 무결성을 검증할 수 있다.In this case, the step of controlling the packet 630 may verify integrity by decrypting the encrypted packet using key list information set to be compatible with the key list information of the other network device 120.

여기에서, 패킷의 무결성을 검증하는 것은, 패킷 내부에 구비되는 무결성 검증을 위한 정보의 상태를 확인하고, 해당 정보에 대한 무결성 조건에 따라 패킷의 무결성을 검증하는 것일 수 있다.Here, verifying the integrity of the packet may include checking a state of information for verifying integrity provided inside the packet, and verifying the integrity of the packet according to an integrity condition for the corresponding information.

또한, 패킷의 무결성을 검증하는 것은 동일한 암호화 키 및 해당 암호화 키에 대한 복호화 키를 포함하는 키 목록 정보를 전달받고, 네트워크 통신부(121)에서 전달받은 패킷을 복호화하고, 다시 암호화하는 경우에, 전달받은 패킷의 정보와 새롭게 암호화된 패킷의 정보가 동일한 경우에, 무결성이 검증된 것일 수도 있으며, 이러한 경우에, 패킷의 경로 상에 존재하는 서로 다른 네트워크 장치(120)는 제어 장치(130)로부터 동일한 키 목록 정보를 전달받을 수도 있다. In addition, to verify the integrity of the packet, when receiving key list information including the same encryption key and a decryption key for the corresponding encryption key, decrypting the packet received from the network communication unit 121, and re-encrypting it, it is delivered. When the received packet information and the newly encrypted packet information are the same, integrity may be verified. In this case, different network devices 120 present on the packet path are the same from the control device 130. You can also receive key list information.

패킷을 제어하는 단계(630)는 무결성이 검증된 패킷을 키 목록 정보의 암호화 키를 이용하여 암호화할 수 있다.In step 630 of controlling the packet, the packet whose integrity has been verified may be encrypted using an encryption key of the key list information.

이에 따라, 패킷을 제어하는 단계(630)는 암호화된 패킷을 스위치 장치(110)에 전달하여, 다른 네트워크 장치에 전달되도록 할 수 있다.Accordingly, in the step 630 of controlling the packet, the encrypted packet may be transmitted to the switch device 110 so that the packet may be transmitted to another network device.

한편, 패킷을 제어하는 단계(630)는 프로브 패킷의 복호화에 실패한 경우에, 해당 패킷을 제거하고, 제어 장치(130)에 통계 정보를 전달할 수 있다.Meanwhile, in the step 630 of controlling the packet, when decoding of the probe packet fails, the corresponding packet may be removed and statistical information may be transmitted to the control device 130.

이때, 알림을 출력하는 단계(640)는 패킷의 상태에 따라 알림을 출력할 수 있다.In this case, the step 640 of outputting a notification may output a notification according to a state of a packet.

이때, 알림을 출력하는 단계(640)에서 출력되는 알림은 소리 알림, 불빛 알림, 진동 알림 등을 포함할 수 있으며, 알림이 출력되는 상황을 나타내는 패턴 정보에 따라 사전에 설정되는 문장, 그림 등의 시각적 알림이 출력되도록 설정될 수도 있다.At this time, the notification output in step 640 of outputting the notification may include a sound notification, a light notification, a vibration notification, and the like, and a sentence, picture, etc. that is set in advance according to the pattern information indicating the situation in which the notification is output. It may be set to display a visual notification.

도7은 도6의 패킷을 제어하는 단계를 나타내는 순서도이다.Fig. 7 is a flow chart showing the steps of controlling the packet of Fig. 6;

패킷을 제어하는 단계(630)는 암호화된 패킷을 전달받는 단계(631), 프로브 패킷에 해당되는지 판단하는 단계(632), 무결성을 검증하는 단계(633), 키 목록 정보로 암호화하는 단계(634), 스위치 장치에 전달하는 단계(635) 및 통계 정보를 전달하는 단계(636)를 더 포함할 수 있다.The step of controlling the packet 630 includes receiving an encrypted packet (631), determining whether it corresponds to a probe packet (632), verifying integrity (633), and encrypting it with key list information (634). ), transmitting 635 to the switch device, and transmitting 636 statistical information.

암호화된 패킷을 전달받는 단계(631)는 스위치 장치(110)로부터 네트워크 장치(120)가 패킷을 전달받을 수 있으며, 이때, 암호화된 패킷을 전달받는 단계(631)에서 전달받는 패킷은 다른 네트워크 장치(120)의 키 목록 정보에 의해 암호화된 패킷일 수 있다.In the step 631 of receiving the encrypted packet, the network device 120 may receive the packet from the switch device 110, and at this time, the packet received in the step 631 of receiving the encrypted packet is another network device. It may be a packet encrypted by the key list information of 120.

프로브 패킷에 해당되는지 판단하는 단계(632)는 스위치 장치(110)로부터 전달받은 패킷의 유형을 판단할 수 있으며, 전달받은 패킷의 유형이 일반 패킷인 경우에, 전달받은 패킷을 스위치 장치(110)에 전달할 수 있고, 프로브 패킷에 해당되는지 판단하는 단계(632)는 전달받은 패킷의 유형이 프로브 패킷인 경우에, 전달받은 패킷을 제어 장치(130)로부터 전달받는 키 목록 정보를 이용하여 복호화할 수 있다.In step 632 of determining whether a probe packet corresponds to a probe packet, the type of the packet transmitted from the switch device 110 may be determined. When the type of the transmitted packet is a general packet, the transmitted packet is transferred to the switch device 110. In step 632 of determining whether the received packet corresponds to a probe packet, the received packet may be decrypted using the key list information transmitted from the control device 130 when the type of the transmitted packet is a probe packet. have.

무결성을 검증하는 단계(633)는 다른 네트워크 장치(120)의 키 목록 정보와 호환되도록 설정되는 키 목록 정보를 이용하여 암호화된 패킷을 복호화하여 무결성을 검증할 수 있다.In the step 633 of verifying the integrity, the encrypted packet may be decrypted using the key list information set to be compatible with the key list information of the other network device 120 to verify the integrity.

이때, 무결성을 검증하는 단계(633)는 패킷의 무결성을 검증하는데 실패한 경우에, 통계 정보를 전달하는 단계(636)로 진행될 수 있으며, 무결성을 검증하는 단계(633)는 패킷의 무결성이 검증된 경우에, 키 목록 정보로 암호화하는 단계(634)로 진행될 수 있다.In this case, the step 633 of verifying the integrity may proceed to the step 636 of transmitting statistical information, in the case of failing to verify the integrity of the packet. In the step 633 of verifying the integrity, the integrity of the packet is verified. In this case, it may proceed to step 634 of encrypting with key list information.

여기에서, 패킷의 무결성을 검증하는 것은, 패킷 내부에 구비되는 무결성 검증을 위한 정보의 상태를 확인하고, 해당 정보에 대한 무결성 조건에 따라 패킷의 무결성을 검증하는 것일 수 있다.Here, verifying the integrity of the packet may include checking a state of information for verifying integrity provided inside the packet, and verifying the integrity of the packet according to an integrity condition for the corresponding information.

또한, 패킷의 무결성을 검증하는 것은 동일한 암호화 키 및 해당 암호화 키에 대한 복호화 키를 포함하는 키 목록 정보를 전달받고, 네트워크 통신부(121)에서 전달받은 패킷을 복호화하고, 다시 암호화하는 경우에, 전달받은 패킷의 정보와 새롭게 암호화된 패킷의 정보가 동일한 경우에, 무결성이 검증된 것일 수도 있으며, 이러한 경우에, 패킷의 경로 상에 존재하는 서로 다른 네트워크 장치(120)는 제어 장치(130)로부터 동일한 키 목록 정보를 전달받을 수도 있다. In addition, to verify the integrity of the packet, when receiving key list information including the same encryption key and a decryption key for the corresponding encryption key, decrypting the packet received from the network communication unit 121, and re-encrypting it, it is delivered. When the received packet information and the newly encrypted packet information are the same, integrity may be verified. In this case, different network devices 120 present on the packet path are the same from the control device 130. You can also receive key list information.

키 목록 정보로 암호화하는 단계(634)는 무결성이 검증된 패킷을 키 목록 정보의 암호화 키를 이용하여 암호화할 수 있다.In the step 634 of encrypting with the key list information, the packet whose integrity has been verified may be encrypted using the encryption key of the key list information.

스위치 장치에 전달하는 단계(635)는 암호화된 패킷을 스위치 장치(110)에 전달하여, 다른 네트워크 장치에 전달되도록 할 수 있다.In the step 635 of transmitting to the switch device, the encrypted packet may be transmitted to the switch device 110 so that it is transmitted to another network device.

한편, 통계 정보를 전달하는 단계(636)는 프로브 패킷의 복호화에 실패한 경우에, 해당 패킷을 제거하고, 제어 장치(130)에 통계 정보를 전달할 수 있다.Meanwhile, in the step 636 of transmitting the statistical information, when the decoding of the probe packet fails, the corresponding packet may be removed and the statistical information may be transmitted to the control device 130.

도8은 도6의 알림을 출력하는 단계의 세부 순서도이다.8 is a detailed flowchart of the step of outputting the notification of FIG. 6.

알림을 출력하는 단계(640)는 통계 정보를 전달받는 단계(641), 통계 정보를 비교하는 단계(642) 및 알림을 출력하는 단계(640)를 더 포함할 수 있다.The step of outputting the notification 640 may further include receiving the statistical information 641, comparing the statistical information 642, and outputting the notification 640.

통계 정보를 전달받는 단계(641)는 서로 다른 네트워크 장치(120)로부터 각각의 네트워크 장치(120)를 통과하는 패킷에 대한 정보를 나타내는 통계 정보를 전달받을 수 있다.In the step 641 of receiving statistical information, statistical information representing information on packets passing through each network device 120 may be received from different network devices 120.

통계 정보를 비교하는 단계(642)는 서로 다른 네트워크 장치(120)로부터 전달받은 통계 정보로부터, 호스트(140) 간의 송수신 중에 특정 스위치 장치(110)에서 삭제되는 패킷의 개수를 파악하여 손상된 스위치 장치(110)를 검출할 수 있다.In the step 642 of comparing the statistical information, the number of packets deleted by the specific switch device 110 during transmission/reception between the hosts 140 is determined from the statistical information transmitted from the different network devices 120, and the damaged switch device ( 110) can be detected.

또한, 통계 정보를 비교하는 단계(642)는 서로 다른 네트워크 장치(120)로부터 전달받은 통계 정보로부터, 패킷의 전달 경로 내에서 인접하는 복수 개의 네트워크 장치(120)에서 송신하는 패킷의 개수와 수신하는 패킷의 개수를 비교하여, 임계 비율을 만족하지 않는 경우에, 해당 네트워크 장치(120)가 외부로부터 공격을 받거나, 손상된 것을 판단할 수 있다.In addition, the step 642 of comparing the statistical information includes the number of packets transmitted by a plurality of network devices 120 adjacent to each other in the packet transmission path and received from the statistical information transmitted from different network devices 120. When the number of packets is compared and the threshold ratio is not satisfied, it may be determined that the network device 120 is attacked or damaged from the outside.

알림을 출력하는 단계(643)는 스위치 장치(110) 또는 네트워크 장치(120) 중 적어도 하나의 장치가 공격을 받거나, 손상된 것으로 판단된 경우에 알림을 출력할 수 있다.In the step 643 of outputting the notification, when it is determined that at least one of the switch device 110 or the network device 120 is attacked or damaged, a notification may be output.

이때, 알림을 출력하는 단계(643)에서 출력되는 알림은 소리 알림, 불빛 알림, 진동 알림 등을 포함할 수 있으며, 알림이 출력되는 상황을 나타내는 패턴 정보에 따라 사전에 설정되는 문장, 그림 등의 시각적 알림이 출력되도록 설정될 수도 있다.At this time, the notification output in the step 643 of outputting the notification may include a sound notification, a light notification, a vibration notification, and the like, and a sentence, a picture, etc. that is set in advance according to the pattern information indicating the situation in which the notification is output. It may be set to display a visual notification.

이상에서는 실시예들을 참조하여 설명하였지만, 해당 기술 분야의 숙련된 당업자는 하기의 특허 청구범위에 기재된 본 발명의 사상 및 영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다.Although the above has been described with reference to embodiments, those skilled in the art will understand that various modifications and changes can be made to the present invention without departing from the spirit and scope of the present invention described in the following claims. I will be able to.

100: 네트워크 환경 관리 시스템
110: 스위치 장치
120: 네트워크 장치
130: 제어 장치
140: 호스트100: network environment management system
110: switch device
120: network device
130: control device
140: host

Claims (12)

호스트로부터 패킷을 전달받는 스위치 장치;
상기 스위치 장치로부터 패킷을 전달받고, 상기 패킷을 나타내는 통계 정보를 생성하는 네트워크 장치; 및
상기 패킷의 경로를 설정하는 흐름 설정 정보에 따라 복수의 스위치 장치 중에서 패킷을 생성하는 호스트와 패킷을 전달받는 호스트를 연결하는 적어도 하나 이상의 스위치 장치를 선정하고, 상기 네트워크 장치로부터 전달받는 상기 패킷의 통계 정보에 따라 상기 스위치 장치 또는 상기 네트워크 장치 중 적어도 하나의 장치의 상태를 판단하는 제어 장치를 포함하고,
상기 제어 장치는,
상기 네트워크 장치를 통과하는 패킷에 대한 정보를 나타내는 통계 정보를 서로 다른 네트워크 장치로부터 전달받고,
서로 다른 네트워크 장치로부터 전달받은 복수의 통계 정보를 비교하고,
상기 복수의 통계 정보를 비교하여 계산되는 비율이 사전에 설정되는 임계 비율을 만족하지 않는 경우, 알림을 출력하며,
상기 통계 정보는 상기 네트워크 장치에서 송신하는 패킷의 개수와 상기 네트워크 장치에서 수신하는 패킷의 개수를 포함하고,
상기 서로 다른 네트워크 장치로부터 전달받은 복수의 통계 정보를 비교하는 것은, 상기 흐름 설정 정보에 따라 상기 패킷을 생성하는 호스트와 상기 패킷을 전달받는 호스트를 연결하는 경로로 나타나는 패킷의 전달 경로에 대해, 상기 패킷의 전달 경로 내의 임의의 네트워크 장치에서 송신하는 패킷의 개수와 상기 임의의 네트워크 장치의 직후 경로에 존재하는 네트워크 장치에서 수신하는 패킷의 개수를 비교하여 차이 비율을 산출하고, 상기 차이 비율과 사전에 설정되는 임계 비율을 비교하는 것이고,
상기 비율이 사전에 설정되는 임계 비율을 만족하지 않는 경우, 알림을 출력하는 것은, 상기 차이 비율이 사전에 설정되는 임계 비율을 초과하는 경우, 상기 네트워크 장치에 문제가 발생한 것을 알리도록 알림을 출력하는 것인, 네트워크 환경 관리 시스템.
A switch device receiving a packet from a host;
A network device that receives a packet from the switch device and generates statistical information representing the packet; And
At least one switch device connecting the host generating the packet and the host receiving the packet is selected from among a plurality of switch devices according to the flow setting information for setting the path of the packet, and statistics of the packet received from the network device And a control device for determining a state of at least one of the switch device or the network device according to information,
The control device,
Receive statistical information representing information on packets passing through the network device from different network devices,
Compare a plurality of statistical information received from different network devices,
When the ratio calculated by comparing the plurality of statistical information does not satisfy a preset threshold ratio, a notification is output,
The statistical information includes the number of packets transmitted by the network device and the number of packets received by the network device,
Comparing a plurality of statistical information transmitted from different network devices may include, for a transmission path of a packet represented by a path connecting a host generating the packet and a host receiving the packet according to the flow setting information, the The difference ratio is calculated by comparing the number of packets transmitted by an arbitrary network device in the forwarding path of the packet with the number of packets received by the network device existing in the path immediately after the arbitrary network device, and the difference ratio is calculated in advance. Is to compare the set threshold ratio,
When the ratio does not satisfy a preset threshold ratio, outputting a notification may include outputting a notification to notify that a problem has occurred in the network device when the difference ratio exceeds a preset threshold ratio. That, the network environment management system.
 제1항에 있어서, 상기 네트워크 장치는,
상기 제어 장치로부터 전달받는 키 목록 정보를 이용하여 암호화된 패킷을 스위치 장치로부터 전달받고,
상기 암호화된 패킷의 유형이 프로브 패킷에 해당되는지 판단하고,
상기 암호화된 패킷이 프로브 패킷인 경우, 다른 네트워크 장치의 키 목록 정보와 호환되도록 설정되는 상기 네트워크 장치의 키 목록 정보를 이용하여 암호화된 패킷을 복호화하여 무결성을 검증하는, 네트워크 환경 관리 시스템.
The method of claim 1, wherein the network device,
Receiving the encrypted packet from the switch device using the key list information transmitted from the control device,
Determine whether the type of the encrypted packet corresponds to a probe packet,
When the encrypted packet is a probe packet, the network environment management system verifies integrity by decrypting the encrypted packet using the key list information of the network device set to be compatible with the key list information of another network device.
 제2항에 있어서, 상기 네트워크 장치는,
상기 제어 장치로부터 키 목록 정보를 전달받고,
검증된 패킷을 상기 키 목록 정보로 암호화하고,
상기 키 목록 정보를 이용하여 암호화된 패킷을 상기 스위치 장치에 전달하는, 네트워크 환경 관리 시스템.
The method of claim 2, wherein the network device,
Receive key list information from the control device,
Encrypt the verified packet with the key list information,
A network environment management system for delivering an encrypted packet to the switch device using the key list information.
 제2항에 있어서, 상기 네트워크 장치는,
상기 스위치 장치로부터 전달받은 암호화된 패킷을 검증하는데 실패한 경우, 상기 제어 장치에 상기 암호화된 패킷의 통계 정보를 전달하는, 네트워크 환경 관리 시스템.
The method of claim 2, wherein the network device,
When it fails to verify the encrypted packet transmitted from the switch device, transmitting the statistical information of the encrypted packet to the control device, the network environment management system.
 제1 항에 있어서, 상기 제어 장치는,
사전에 설정되는 시간 주기 정보에 따라 키 목록 정보를 갱신하거나, 또는, 상기 스위치 또는 상기 네트워크 장치 중 적어도 하나의 요소에서 알림이 발생하는 경우, 상기 키 목록 정보를 갱신하는, 네트워크 환경 관리 시스템.
The method of claim 1, wherein the control device,
The key list information is updated according to preset time period information, or when a notification occurs in at least one element of the switch or the network device, the key list information is updated.
 삭제delete 스위치 장치, 네트워크 장치 및 제어 장치를 이용하는 네트워크 환경 관리 방법에 있어서,
패킷의 경로를 설정하는 흐름 설정 정보에 따라 스위치 장치를 선정하는 단계;
상기 스위치 장치에 연결되는 네트워크 장치가 키 목록 정보를 전달받는 단계;
상기 스위치 장치가 호스트로부터 패킷을 전달받는 단계;
네트워크 장치가 상기 스위치 장치로부터 패킷을 전달받고, 패킷의 유형을 판단하여, 상기 패킷의 유형에 따라 상기 패킷을 제어하는 단계; 및
상기 패킷의 상태에 따라 알림을 출력하는 단계를 포함하고,
상기 알림을 출력하는 단계는,
서로 다른 네트워크 장치로부터 상기 네트워크 장치를 통과하는 패킷에 대한 정보를 나타내는 통계 정보를 전달받는 단계;
서로 다른 네트워크 장치로부터 전달받은 복수의 통계 정보를 비교하는 단계; 및
상기 복수의 통계 정보를 비교하여 계산되는 비율이 사전에 설정되는 임계 비율을 만족하지 않는 경우, 알림을 출력하는 단계를 포함하고,
상기 통계 정보는 상기 네트워크 장치에서 송신하는 패킷의 개수와 상기 네트워크 장치에서 수신하는 패킷의 개수를 포함하며,
상기 서로 다른 네트워크 장치로부터 전달받은 복수의 통계 정보를 비교하는 단계는, 상기 흐름 설정 정보에 따라 상기 패킷을 생성하는 호스트와 상기 패킷을 전달받는 호스트를 연결하는 경로로 나타나는 패킷의 전달 경로에 대해, 상기 패킷의 전달 경로 내의 임의의 네트워크 장치에서 송신하는 패킷의 개수와 상기 임의의 네트워크 장치의 직후 경로에 존재하는 네트워크 장치에서 수신하는 패킷의 개수를 비교하여 차이 비율을 산출하고, 상기 차이 비율과 사전에 설정되는 임계 비율을 비교하고,
상기 비율이 사전에 설정되는 임계 비율을 만족하지 않는 경우, 알림을 출력하는 단계는, 상기 차이 비율이 사전에 설정되는 임계 비율을 초과하는 경우, 상기 네트워크 장치에 문제가 발생한 것을 알리도록 알림을 출력하는, 네트워크 환경 관리 방법.
In the network environment management method using a switch device, a network device and a control device,
Selecting a switch device according to flow setting information for setting a packet path;
Receiving, by a network device connected to the switch device, key list information;
Receiving, by the switch device, a packet from a host;
Receiving, by a network device, a packet from the switch device, determining a packet type, and controlling the packet according to the packet type; And
Including the step of outputting a notification according to the state of the packet,
The step of outputting the notification,
Receiving statistical information indicating information on packets passing through the network device from different network devices;
Comparing a plurality of statistical information received from different network devices; And
Comprising the step of outputting a notification when the ratio calculated by comparing the plurality of statistical information does not satisfy a preset threshold ratio,
The statistical information includes the number of packets transmitted by the network device and the number of packets received by the network device,
Comparing the plurality of statistical information transmitted from different network devices may include, for a transmission path of a packet represented by a path connecting a host generating the packet and a host receiving the packet according to the flow setting information, The difference ratio is calculated by comparing the number of packets transmitted by a network device in the forwarding path of the packet with the number of packets received by a network device existing in the path immediately after the network device, and calculating the difference ratio Compare the threshold ratio set in
When the ratio does not satisfy a preset threshold ratio, the step of outputting a notification includes, when the difference ratio exceeds a preset threshold ratio, a notification is output to notify that a problem has occurred in the network device. How to manage the network environment.
 제7항에 있어서, 상기 패킷을 제어하는 단계는,
스위치 장치로부터 상기 키 목록 정보를 이용하여 암호화된 패킷을 전달받는 단계;
상기 암호화된 패킷의 유형이 프로브 패킷에 해당되는지 판단하는 단계; 및
상기 암호화된 패킷이 프로브 패킷인 경우, 다른 네트워크 장치의 키 목록 정보와 호환되도록 설정되는 상기 네트워크 장치의 키 목록 정보를 이용하여 암호화된 패킷을 복호화하여 무결성을 검증하는 단계를 더 포함하는, 네트워크 환경 관리 방법.
The method of claim 7, wherein controlling the packet comprises:
Receiving an encrypted packet using the key list information from a switch device;
Determining whether the type of the encrypted packet corresponds to a probe packet; And
If the encrypted packet is a probe packet, further comprising the step of verifying integrity by decrypting the encrypted packet using the key list information of the network device set to be compatible with the key list information of another network device Management method.
 제8항에 있어서, 상기 패킷을 제어하는 단계는,
상기 스위치로부터 전달받는 패킷을 상기 키 목록 정보로 암호화하는 단계; 및
상기 키 목록 정보를 이용하여 암호화된 패킷을 상기 스위치 장치에 전달하는 단계를 더 포함하는, 네트워크 환경 관리 방법.
The method of claim 8, wherein controlling the packet comprises:
Encrypting the packet received from the switch with the key list information; And
Further comprising the step of transmitting the encrypted packet to the switch device by using the key list information.
 제8항에 있어서, 상기 패킷을 제어하는 단계는,
다른 네트워크 장치로부터 전달받은 암호화된 패킷을 검증하는데 실패한 경우, 상기 제어 장치에 상기 암호화된 패킷의 통계 정보를 전달하는 단계를 더 포함하는, 네트워크 환경 관리 방법.
The method of claim 8, wherein controlling the packet comprises:
If it fails to verify the encrypted packet transmitted from another network device, the method further comprising the step of transmitting the statistical information of the encrypted packet to the control device, network environment management method.
 제7항에 있어서, 상기 키 목록 정보를 전달하는 단계는,
사전에 설정되는 시간 주기 정보에 따라 상기 키 목록 정보를 갱신하거나, 또는, 상기 스위치 또는 상기 네트워크 장치 중 적어도 하나의 요소에서 알림이 발생하는 경우, 상기 키 목록 정보를 갱신하는, 네트워크 환경 관리 방법.
The method of claim 7, wherein the transferring of the key list information comprises:
Updating the key list information according to preset time period information, or updating the key list information when a notification occurs in at least one element of the switch or the network device.
 삭제delete
KR1020190134898A 2019-10-28 2019-10-28 Network environment management system and method for detecting compromised switches and bypass attacks KR102247621B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020190134898A KR102247621B1 (en) 2019-10-28 2019-10-28 Network environment management system and method for detecting compromised switches and bypass attacks

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020190134898A KR102247621B1 (en) 2019-10-28 2019-10-28 Network environment management system and method for detecting compromised switches and bypass attacks

Publications (1)

Publication Number Publication Date
KR102247621B1 true KR102247621B1 (en) 2021-04-30

Family

ID=75740848

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020190134898A KR102247621B1 (en) 2019-10-28 2019-10-28 Network environment management system and method for detecting compromised switches and bypass attacks

Country Status (1)

Country Link
KR (1) KR102247621B1 (en)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030053419A1 (en) * 2001-08-22 2003-03-20 Toshiyuki Kanazawa Packet communication quality measurement method and system
KR20070111603A (en) * 2006-05-18 2007-11-22 이상규 Security system for client and server
JP2014171088A (en) * 2013-03-04 2014-09-18 Ntt Comware Corp Network monitoring device, service provision system, network monitoring method, and network monitoring program

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030053419A1 (en) * 2001-08-22 2003-03-20 Toshiyuki Kanazawa Packet communication quality measurement method and system
KR20070111603A (en) * 2006-05-18 2007-11-22 이상규 Security system for client and server
JP2014171088A (en) * 2013-03-04 2014-09-18 Ntt Comware Corp Network monitoring device, service provision system, network monitoring method, and network monitoring program

Similar Documents

Publication Publication Date Title
CN101300806B (en) System and method for processing secure transmissions
JP5936618B2 (en) Quantum key distribution
US7308715B2 (en) Protocol-parsing state machine and method of using same
US8631134B2 (en) Network architecture for secure data communications
JP6129523B2 (en) Communication apparatus and program
JP2017506846A (en) System and method for securing source routing using digital signatures based on public keys
US11108562B2 (en) Systems and methods for verifying a route taken by a communication
US20110119487A1 (en) System and method for encryption rekeying
JP6841324B2 (en) Communication equipment, systems, methods and programs
US10560286B2 (en) Gateway device and control method for the same
CN104935593A (en) Data message transmitting method and device
US10586065B2 (en) Method for secure data management in a computer network
CN105409157A (en) Adaptive traffic encryption for optical networks
CN110048986B (en) Method and device for ensuring ring network protocol operation safety
US7302704B1 (en) Excising compromised routers from an ad-hoc network
US20200336523A1 (en) Apparatus for monitoring multicast group
JP2007039166A (en) Remote monitoring system for elevator
US20180314857A1 (en) Information Processing Device and Malicious Message Detection Method
US8429393B1 (en) Method for obscuring a control device's network presence by dynamically changing the device's network addresses using a cryptography-based pattern
US9762388B2 (en) Symmetric secret key protection
KR101040543B1 (en) Detection system and detecting method for the cryptographic data in SSH
KR102247621B1 (en) Network environment management system and method for detecting compromised switches and bypass attacks
US20170063789A1 (en) OptiArmor Secure Separation Device
US9614720B2 (en) Notification technique for network reconfiguration
US10171430B2 (en) Making a secure connection over insecure lines more secure

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant